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Procede, systeme, dispositif destines a prouver 1' authenticity d'une 
entite et/ou Fintegrite et/ou Fauthenticite d'un message. 

La presente invention concerne les precedes, les systemes ainsi que les 
dispositifs destines a prouver Fauthenticite d'une entite et/ou Fintegrite 
et/ou Fauthenticite d'un message. 

Le brevet EP 0 3 1 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designantpar les termes : "brevet GQ" ou "procede GQ". Par la suite on 
designera parfois par "GQ2" "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le procede GQ, une entite appelee ** autorite de confiance " attribue 
une identite a chaque entite appelee " temoin" et en calcule la signature 
RSA; durant un processus de personnalisation, Fautorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
"Voici mon identite ;J'en connais la signature RSA" Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribute par Fautorite de confiance, une 
entite appelee "controleur" verifie sans en prendre connaissance>,yi^ ; . la 
signature RSA correspond a Tidentite proclamee. Les mecanismes utilisant 
le proc6de GQ se deroulent "sans transfert de connaissance". Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
Fautorite de confiance signe im grand nombre d'identites. 
Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
raeme taille eleves a des puissances de Fordre de 2 16 + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 



precedes tels <,ue k precede GQ, entralne de S temps de oalcul qu. dans 
certains cas s'averent penalisant pour les consommateurs utthsant des 
cartes bancaires pour acnuitter leurs achats. II est rappel* id. qu en 
cherchant a accrete >a securite des cartes de paiement, les automes 
bancaires posent un probleme particulierement delicat a resoudre. En effet, 
1 tat data deux questions apparemment contradietoires : augmenter la 
securite en utiUsant des cles de plus en plus longues e. distinctes pour 
chaque carte tout en evitan. que la charge de travail n'entraine des temps 
de calcul prohibits pour Us uulisateurs. Ce probleme prend un rehef 
p^cuUer dans la mesure ob. en outre, 1 eonvient de tenir compte de 
.infrastructure en place e. des composants microprocesseurs exis^ 
La teebnologie GQ precedemment deorite fait appel a la technologre RSA. 
Mais si la teebnologie RSA depend bel et Men de la fa— ndu 
module n, cette dependance n'es, pas une equivalence, Ion, s en ^ 
^ le demount les attaques dites "multrpl.ca.rves centre .es 
diverses normes de signature numerique mettan, en oeuvre la technology 
RSA 

L'objectif de !a technologie GQ2 est double : d'une part, ameliorer es 
performances par rapport a ,a technologie RSA ; cTautre pan, evnerles 
Iblemes inherent* * la technologie RSA. La connatssance de la cle pnvee 
GQ2 est equivalente a la connaissance de la factorisation du modub o. 
Tome attaque au niveau des triplets GQ2 se ramene a la facttnsatron du 
modu>e n : U y a cette fois equivaience. Avec Ja technologie GQ2, la charge 
de travail est reduite, «ant pour rentite qui signe ou qui s'authennfie que 
pour celle qui conWle. Grace a un meuleur usage du problem <teUt 
factorisation, tan. en seeurite qu'eu performance, la technology GQ2 evrte 
les inconvenients presentes par la technologie RSA. 

Proc6d£ 

Methode des testes chinois appliquee a la famffle GQ 



Plus particulierement, F invention concerne un procede destine a prouver a 
une entite controleur, 

- T authenticate d'une entite et/ou 

- Pintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 , ... Q m et publiques G„ G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers p l9 
p 2 , . . . p f (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Q . Qj v = 1 . mod n ou Gj = Qj V mod n ; 

Ledit procede met en ceuvre selon les etapes ci-apres definies une entite 
appelee temoin disposant des f facteurs premiers p 8 et/ou des parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou des m 

valeurs privees Q t et/ou des f.m composantes Q u . (Q u 1 = Q, mod pj) des 
valeurs privees Q 4 et de T exposant public v . 

Le temoin calcule des engagements R dans Tanneau des entiers modulo n. 
Chaque engagement est calcule en effectuant des operations du type 

^ = rj v mod ^ 

ou rj est un alea associe au nombre premier p 5 tel que 0 < r x < p x , chaque r x 
appartenant a une collection d'aleas {r x , r 2 , ... r f } ,pxiis en appliquant la 
methode des restes chinois, 

Ainsi, le nombre d' operations arithmetiques modulo p s a effectuer pour 
calculer chacun des engagements Rj pour chacun des ft est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le temoin re?oit im ou plusieurs defis d. Chaque defi d comportant m 
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entiers d, ci-apres appeles defis elementaires. Le temoin calcule a partir de 
chaque defi d une reponse D, en.effectuant des operations du type : 

puis en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetics modulo p, a effectuer pour 
calculer chacune des reponses D, pour chacun des p, est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Le procede est tel qu'il y a autant de reponses D que de defis d que 
d'engagements R, chaque groupe de nombres R, d, D constituant un 

triplet note {R, d, D}. 

Cas de la preuve de 1' authenticity d'une entity 

Dans une premiere variante de realisation le proc6de selon 1'invention est 

destine a prouver 1'authenticite d'une entite appelee demonstrateur a une 

entite appelee controleur. Ladite entite demonstrateur comprend le temom. 

Lesdites entites demonstrateur et controleur executent les etapes 

suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. Le demonstrateur Ixansmet au controleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de deti d 

Le controleur, apres avoir re 9 u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d'engagements R et 
transmet les defis d au demonstrateur. 

• 6tape 3 : acte de reponse D 

Le tooin calcule des reponses D a partir des defis d en appliquant le 

processus specifie ci-dessus. 

• etape 4 : acte de contr61e 

Le demonstrateur transmet chaque reponse D au controleur. 



Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques G 19 G 2 , ... 
G m , calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' = d dl . G 2 ... G m *" . D v mod n 
ou a une relation du type, 

R' = W/G, dl . G 2 62 . ... G m dm . mod n . 
Le controleur verifie que chaque engagement reconstruit R 5 reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis. 
Deuxieme cas : le demonstrateur a transmis I'int6gralit6 de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis Tintegralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gj, G 2 , ... 
G m , verifie que chaque engagement R satisfait a une relation du type : 

R = G x dl . G 2 . . . G m ** . D v mod n 
ou a une relation dv type, 

R = D V /G! dl . G 2 d2 . ... G m ^ . mod n . 
Cas de la preuve de Pintegrite d'un message 
dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le procede selon V invention est destine a prouver a une 
entite appel^e controleur T integrity d'un message M associe a xme entity 
appelee demonstrateur. Ladite entite demonstratexir comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes 
suivantes: 

• etape 1 : acte d'engagement R 
A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 
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• etape 2 : acte de defi d 

Le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T. Le demonstrateur transmet le jeton T au 
contrdleur. Le controleur, apres avoir re9u un jeton T, produit des defis d 
en nombre egal au nombre d'engagements R et transmet les defis d au 
demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au contrdleur Le contrdleur, 
disposant des m valeurs publiques G„ G 2 , ... G m , calcule a partir de chaque 
defi d et de chaque reponse D un engagement reconstruit R' satisfaisant a 

une relation du type : 

R' = Gt dl . G 2 * . . . G m *■ . D v mod n 

ou a une relation du type : 

R' = D v /G 1 <u .G 2 d2 ....G m dm . modn. 
Puis, le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T\ Puis, le controleur verifie que le 
jeton T' est identique au jeton T transmis. 

Signature numerique d'un message et preuve de son authenticity 

Operation de signature 
Dans une troisieme variante de realisation susceptible d'etre prise en 
combinaison avec l'une et/ou l'autre des autres variantes de realisation, le 
procede selon 1' invention est destine a produire la signature numenque 
d'un message M par une entite appelee entite signataire. Ladite entite 
signataire comprend le temoin. 



Ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ladite entite signataire execute V operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d' engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 

• etape 2 : acte de defi d 

Le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 
d'engagements R. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

Operation de controle 
Pour l'authenticite du message M, une entite, appelee controleur, controle 
le message signe. Ladite entite controleur disposant du message sign6 
execute une operation de controle en procedant comme ci-apres decrit. 
• cas ou le controleur dispose des engagements R, des d£fis d, des 
reponses D, 

Dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, le controleur verifie que les engagements R» les defis d et les 
reponses D satisfont a des relations du type 

R = Gj dl . G 2 ^ ... G m 61X1 . D v mod n 
ou a des relations du type : 
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R = D v / Gj dl . G 2 d2 . ... G m dm . mod n 
Puis, le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 

d = h (M, R) 

• cas ou le controleur dispose des defis d et.des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruct, a partir de chaque defi d et de chaque reponse D, 
des engagements R' satisfaisant a des relations du type : 
R' = Gx dl .G 2 d2 ....G m dm .D v modn 

ou a des relations du type : 

R , = D v /G, -1 .G a ,n . ...G m dm . modn 

Puis, le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas ou le contrdleur dispose des engagements R et des reponses D, 
le contrdleur applique la fonction de hachage et reconstruit d' 

d' = h (M, R) 

Puis, le controleur verifie que les engagements R, les defis d' et les reponses 
D, satisfont a des relations du type : 

R = G 4 d l . G 2 d ' 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = D v / G x d l . G 2 d ' 2 . ... G m d ' m . mod n. 
Cas ou on choisit la valeur privee Q en premier et ou on deduit la 
valeur publique G de la valeur priv6e Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le precede selon 1' invention est tel que les 
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composantes Q^-j * Qt, 2 > Qi, f des valeurs privees sont des nombres 
tires au hasard a raison d'une qomposante Q f j (Q^ j = Q s mod pj) pour 
chacun desdits facteurs premiers Pj. Lesdites valeurs privees Q t peuvent 
etre calculees a partir desdites composantes , , 2 ... f par la 
methode des restes chinois. Lesdites valeurs publiques G i9 sont calculees 
en effectuant des operations du type 

G u = Q^/modpj 
puis, en appliquant la methode des restes chinois pour etablir G x tel que 

Gj . Qj V = 1 . mod n ou Q = Q^mod n ; 
Ainsi, le nombre d' operations arithmetiques modulo ft a effectuer pour 
calculer chacun des G u pour chacun des Pj est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

Avantageusement dans ce cas, le procede selon l'invention est tel que 
Pexposant public de verification v est un nombre premier. On demontre 
que la securite est equivalente a la connaissance de la valeur privee Q % . 
Cas ou on choisit la valeur publique G en premier et ou on deduit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique Gj est le carre gj 2 d'un nombre de base gj inferieur 
aux f facteurs premiers p„ p 2? ... p f . Le nombre de base g x est tel que les 
deux equations : 

x 2 = & mod n et x 2 = - gj mod n 

n'ont pas de solution en x dans Fanneau des entiers modulo n et tel que 
T equation : 

x v = g s 2 mod n 
a des solutions en x dans l'anneau des entiers modulo n. 

Systeme 



La presente invention concerne egalement un systeme destine a prouver a 
un serveur controleur, 

- P authenticity d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q u Q 2 , ... Q m et publiques G 19 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers p 1? 
p 2 , . .. p f (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs etant lies par des relations 
du type : 

Gj. Q, v = 1 . mod n ou G, = Qi V mod n . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les f facteurs premiers p s et/ou des parametres des restes chinois 
des facteurs premiers et/ou du module public n et/ou des m valeurs privees 
Qi et/ou des f.m composantes j (Q ui = Qj mod pj) des valeurs privees Qi 
et de l'exposant public v. Le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

R. = rj v mod p t 

ou rj est im alea associe au nombre premier p { tel que 0 < ^ < p f , chaque r t 



appartenant k une collection d'aleas {r x , r 2 , ... r f } produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois. 

Ainsi, le nombre d' operations arithmetiques modulo p { a effectuer pour 
calculer chacun des engagements Rj pour chacun des pj est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

Dj = rj . Q M dl . ^ ... mod pj 

puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p { k effectuer pour 
calculer chacune des reponses D { pour chacun des p, est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D, 
II y a autant de reponses D que de defis d que d' engagements R Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de Pauthenticite d'une entite 
Dans une premiere variante de realisation le systeme selon Tinvention est 
destine a prouver Tauthenticite d'ime entite appelee demonstrateur a une 
entite appelee controleur. 

Ledit systeme est tel qu'il comporte un dispositif demonstrateur associe a 
T entite demonstrateur. Ledit dispositif demonstrateur est interconnect^ au 
dispositif temoin par des moyens d'interconnexion. II peut se presenter 
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notamment sous la fonne de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme comporte aussi un dispositif contrdleur associe a l'entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif contrdleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
demonstrateur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres designe 
les moyens de transmission du dispositif demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif contrdleur, via les 
moyens de connexion. 

• etape 2 : acte de d6fi d 

Le dispositif contrdleur comporte des moyens de productions de defis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R Le dispositif 
controleur comporte aussi des moyens de transmission, ci-apres designes 
les moyens de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 



• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, reQoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin calculent les reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de contrdle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G„ G 2 , ... G m? calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R'sGj dl .G 2 d2 .,.. G m *" . D v mod n 
ou a une relation du type, 

R' = D v / G x dl . G 2 ^ . . . G m *» . mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re?u. 
cas oik le demonstrateur a transmis Pintegralit£ de chaque engagement 
R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
Tintegralite de chaque engagement R, les moyens de calcul et les moyens 
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de comparison du dispositif contrdleur, disposant des m valeurs publiques 
G w G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R = Gj dl . G 2 * . . . G m dm . D v mod n 

ou a une relation du type, 

R = D v /G 1 dl .G 2 d2 ....G m dm .modn. 

Cas de la preuve de l'integritd d'un message 

Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le systeme selon I'invention est destine a prouver a une 
entite appelee controleur l'integrite d'un message M associe a une entite 
appelee demonstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a l'entite demonstrateur. Ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d'interconnexion. n pent se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
systeme comporte aussi un dispositif contrSleur associe k l'entite 
contrdleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
demonstrateur. 

Ledit systeme execute les etapes suivantes : 

• etape 1 : acte d' engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres design6s les moyens de transmission du dispositif temoin, pour 



transmettre tout- ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'.interconnexion. 

• etape 2 : acte de defi d 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant une 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. Le dispositif controleur comporte aussi des moyens de 
productions de defis pour produire, apres avoir re?u le jeton T, des defis d 
en nombre egal au nombre d'engagements R, Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du dispositif controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin calculent les reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi des 
moyens de calcul, ci-apres designes les moyens de calcul du dispositif 
controleur, disposant des mvaleurs publiques G 15 G 2 , ... G m , pour d'une 
part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 
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R'=G 1 dl .G 2 d2 ...G nl dm .D v modn 

ou & une relation du type : 

R' s DVG 1 dl .G a d2 ....G m dm . modn 

puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T\ 

Le dispositif concur comporte aussi des moyens de comparison, c 
apres design* les moyens de comparison du dispositif controls, pour 
comparerlejetonT'aujetonTrecu. 

Signature B»m*ri,ue d'un message et preove de son autheaOcte 

Operation de signature 
Dans une troisieme variante de r6a.isa.ion, susceptible d'etre combinee a 
rune et/ou a .'autre des deux autres, le systeme selon rinventton est 
destine a produire la signature numerique d'un message M. c apres 
designe le message signe, par une entile appelee entite signatatre. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

• les reponses D . '* x 

Ledi. systeme est tel qu'i. comporte un dispositif signataire assocte a 
Pentite signataire. Ledit dispositif signataire est interconnect a» drsposmf 
.emom par des moyens ^interconnexion e. pent se pr6senter notammen, 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaue a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
A chaque appel, .es moyens de calcul des engagements R du disposmf 
temoin calculent chaque engagement R en apphquant le processus speafie 



ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 
dessus. 
. & 

L^^disrif/rci^if temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d' interconnexion. 

Operation de controle 
Pour prouver F authenticity du message M, par une entite appelee 
controleur, controle le message signe. 

Le systeme comporte un dispositif controleur associe a T entite controleur. 
Ledit dispositif controleur se presente notamment sous la forme d'un 
terminal ou d'un serveur distant. Ledit dispositif controleur comporte des 
moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
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demonstrated. . 

Ledit dispositif signature associe a l'entite signataire comporte des moyens 
de transmission, ci-apres designs les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion. Ainsi, le dispositif controleur dispose d'un 
message signe comprenant: 
-le message M, 

- les defis d et/ou les engagements R, 

- les reponse D. 

Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 

dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 

comparaison du dispositif controleur. 

. cas oik le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G t dl . G 2 d2 . ... G m *" . D v mod n 

ou a des relations du type : 

R = D v /G 1 dl .G 2 d2 ....G m d,n . modn 
Puis, les moyens de calcul et de comparaison du dispositif contr61eur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas ou le contrfileur dispose des defis d et des reponses D 

Dans le cas ou le dispositif contrSleur dispose des defis d et des reponses 



D, les moyens de calcul du dispositif eontroleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' s Gj dl . G 2 ^ • . . G m *» . D v mod n 
ou a des relations du type : 

R , = D v /G 1 dl .G 2 d2 ....G m dm . modn 
Puis, les moyens de calcul et de comparaison du dispositif eontroleur verifie 
que le message M et les defis d satis font a la fonction de hachage 

d = h(M,R') 

• cas ou le eontroleur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif eontroleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif eontroleur appliquent la 
fonction de hachage et calculent d' tel que 

d'=h(M,R) 

Puis, les moyens de calcul et de comparaison du dispositif eontroleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G, dM . G 2 d ' 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = D v / G x dn . G 2 d 2 . ... G m d ra . mod n 
Cas ou on choisit la valeur privee Q en premier et ou on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le systeme selon 1* invention est tel que les 
composantes x , Q if 2 , ••• Qi, f des valeurs privees sont des nombres 
tires au hasard a raison d'une composante Q 5 j (Q^ j = Q, mod pj) pour 
chacun desdits facteurs premiers pj. Lesdites valeurs privies Q; peuvent 
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etre calculees a partir desdites composantes Q u a , Qi, 2 ••• Qi, f P 31 " la 
methode des restes chinois. Lesdites valeurs publiques G v sent calculees 
en effectuant des operations du type 

puis, en appliquant la methode des restes chinois pour etablir G< tel que 

G 5 . Q, v s 1 . mod n ou G| = Qi V mod n ; 
Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer pour 
calculer chacun des G,, , pour chacun des Pj est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

Avantageusement dans ce cas, le systeme selon 1'invention est tel que 
1'exposant pubUc de verification v est un nombre premier. On demontre 
que la s6curite est equivalente a la connaissance de la valeur pnvee Ch . 
Cas ou on choisit la valeur publique G en premier et ou on deduit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1. Ladite valeur publique 
Gi est le carre gi > d'un nombre de base gi inferieur aux f facteurs premiers 

P,', P 2 , Pr Le nombre de base 8i 6St 161 qUe l6S ^ 6qUatl ° nS : 
x 2 = gl modn et x 2 = -&modn 

n'ont pas de solution en x dans 1'anneau des entiers modulo n et tel que 
F equation : 

x v = gj 2 mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

Dispositif terminal 
Methode des restes chinois appliquee a la famille GQ 

L'invention concerne aussi un dispositif terminal associe a une entite. Le 
dispositif tenninal se presente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire a microprocesseur. Le 



dispositif terminal est destine a prouver a dispositif controleur : 

- l'authenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q 19 Q 2 , ... Q m et publiques G lf ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers p u 
P2? * • • Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

G|. Qj v = 1 . mod n ou G| = Qj V mod n . 

Ledit dispositif terminal comprend un dispositif t6moin comportant une 
zone memoire contenant les f facteurs premiers p l et/ou les parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou les m 
valeurs privees Q { et/ou les f.m composantes j (Q^ l s Q, mod pj) des 

valeurs privees Qjet de l'exposant public v. Le dispositif temoin comporte 
aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin. 

Les moyens de calcul permettent de calculer des engagements R dans 
Panneau des entiers modulo n. Chaque engagement est calcul6 en 
effectuant des operations du type 

Rj = r| V mod p } 

ou r x est im alea associe au nombre premier ^ tel que 0 < r 5 < r , chaque r % 
appartenant a ime collection d'aleas {r l , r 2 , ... r f } produits par les 
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moyens de production d'aleas, puis en appliquant la methode des restes 
chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer pour 
calculer chacun des engagements R, pour chacun des p, est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designs les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d, 
chaque defi d comportant m entiers d, ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo Pl a effectuer pour 
calculer chacune des reponses D, pour chacun des Pi est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d'engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de l'authenticite d'une entite 
Dans une premiere variante de realisation, le dispositif terrninal selon 
l'invention est destine a prouver l'authenticite d'une entite appelee 
demonstrates- a une entite appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif d6monstrateur 
associe a l'entite demonstrateur. Ledit dispositif demonstrates est 
interconnect6 au dispositif temoin par des moyens d' interconnexion. 11 
peut se presenter notamment sous la forme de microcircuits logiques dans 



un objet nomade par exemple sous la forme d'un microprocesseur dans une 
carte bancaire a microprocesseur.. 

Ledit dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a l'entit6 controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• 6tape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifie 
ci-dessus- 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

• etape 2 et 3 : acte de defi d 9 acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 
dessus. 

• etape 4 : acte de controle 



Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif controleur qui procede au controle. 

Cas de la preuve de Pintegrite d'un message 
Dans une deuxieme variante de realisation, susceptible d'etre combinee 
aux autres variantes de realisation, le dispositif terminal selon l'invention 
est destine a prouver a une entite appelee controleur 1'integrite d'un 
message M associe a une entite appelee demonstrateur. Ledit dispositif 
terminal est tel qu'il comporte un dispositif demonstrateur associe a 1' entite 
demonstrateur. Ledit dispositif demonstrateur est interconnect^ au 
dispositif temoin par des moyens d' interconnexion. H peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif demonstrateur comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, a un dispositif controleur associe a 1' entite 
controleur. Ledit dispositif controleur se pr&ente notamment sous la forme 
d'un terminal ou d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagementR 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. 

• etape 2 et 3 : acte de d£fi d, acte de reponse 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 



fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. 

Ledit dispositif controleur produit, apres avoir repu le jeton T, des defis d 
en nombre egal au nombre d' engagements R. 

Les moyens de reception des defis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 
dessus. 

• £tape 4 : acte de controle 

Les moyens de transmission du demonstrateur trarismettent chaque 
reponse D au dispositif controleur qui precede au controle. 

Signature numerique d'un message el preuve de son authenticity 

Operation de signature 
Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres, le dispositif terminal selon Tinvention est destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a Tentite signataire. Ledit dispositif signataire est interconnects au 
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dispositif temoin par des moyens d' interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter electriquement, 61ectromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, a un dispositif controleur associe a l'entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un tenninal ou d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• £tape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d recoivent les defis d provenant du 
dispositif signataire, via les moyens d' interconnexion. Les moyens de 
calcul des reponses D du dispositif temoin calculent les reponses D a partir 
des defis d en appliquant le processus specifie ci-dessus. Le dispositif 
temoin comporte des moyens de transmission, ci-apres designes les moyens 



de transmission du dispositif temoin, pour transmettre les reponses D au 
dispositif signataire, via les moyens d' interconnexion. 

Dispositif controleur 
Methode des restes chinois appliquee a toute la famiUe GQ 
L'invention concerne aussi un dispositif controleur. Le dispositif 
controleur peut se presenter notamment sous la forme d'un terminal ou 
d'un serveur distant associe a une entite controleur. Le dispositif 
controleur est destine a prouver a un serveur controleur : 

- 1' authenticity d'une entite et/ou 

- Fintegrite d'un message M assocte a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q l9 Q 2 , ... Q m et publiques G l9 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers p l9 
p 2 , . . . p f (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gi.Qi V =l .modnouGi = Qi V modn; 

ou Qj designe une valeur privee, inconnue du dispositif controleur, 
associee a la valeur publique Gj . 

Cas de la preuve de Pauthenticite d'une entity 
Dans Tine premiere variante de realisation, susceptible d'etre combinee 
avec les autres, le dispositif controleur selon T invention est destine a 
prouver Fauthenticite d'une entite appelee demonstrateur a une entite 
appelee controlem*. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
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mamere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a l'entite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• Stape 1 et 2 : acte d'engagement R, acte de dtfi 
Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif contrdleur comporte des moyens de productions de defis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, chaque defi d 
comportant m entiers d, , ci-apres appeles d6fis elementaires. 
Le dispositif contrdleur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion. 

• stapes 3 et 4 : acte de reponse, acte de controle 
Le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 

dispositif contrdleur, 

- des moyens de comparison, ci-apres designes les moyens de 

comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont recus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G w G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
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R' satisfaisant a une relation du type : 

R' = Gj dl . G 2 ... G m dm .B v mod n 
ou a line relation du type, 

R' = D V /G, dl . G 2 d2 . ... G m *" . mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re$u. 
Deuxieme cas : le demonstrates a transmis PintSgralite de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont re?us 
1'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G„ G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R = G! dl . G 2 d2 . ... G m dra . D v mod n 

ou a ime relation du type, 

R = D v /G 1 dI .G^. ...G m dm . mod n . 
Cas de la preuve de I'int£grit£ d'un message 

Dans une deuxieme variante de realisation, susceptible d'etre combinee 
avec les autres, le dispositif controleur selon 1' invention est destine a 
prouver Tintegrite d'xm message M associe a une entite appelee 
demonstrateur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via xm reseau de communication 
informatique, a im dispositif demonstrateur associe a 1' entite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi 
Ledit dispositif controleur comporte aussi des moyens de reception de 
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jetons T provenant du demonstrates, via les moyens de connexion. Le 
dispositif contrdleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir recu le jeton T, defis d en nombre egal au 
nombre d'engagements R , chaque defi d comportant m entiers, ci-apres 
appel6s les defis elementaires. Le dispositif controleur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
dispositif controleur, pour transmettre les defis d au demonstrates, via les 
moyens de connexion. 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 
Le dispositif controleur comporte des moyens de reception des reponses D 
provenant du dispositif demonstrates, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G„ G 2 , ... G m , pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 
satisfaisant a une relation du type : 

R' = G t dl . G 2 . . . G m *» . D v mod n 

ou a une relation du type : 

R'^D v /G l dl .G 2 d2 ...-G m dm . modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R' , un jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T recu. 

Signature numerique d'un message et preuve de son authenticity 
Dans une troisieme variante de realisation, susceptible d'etre combine aux 
autres variantes de realisation, le dispositif controleur selon Invention est 
destine a prouver 1' authenticite du message M en controlant, par une entite 



appelee controleur, le message signe. 

Le message signe, emis par un.dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D . 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement on de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associe a T entite signataire. Ledit 
dispositif contrdleur re?oit le message signe du dispositif signataire, via les 
moyens de connexion. 
Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres d6sign6s les moyens de 
comparaison du dispositif controleur. 

• cas oil le controleur dispose des engagemejr%rfe des defis d, der^ 
reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = Gj dl . G 2 ^ . . . G m *■ . D v mod n 
ou a des relations du type : 

R = D V /G, dl -G 2 d2 ....G m dm . modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 
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d = h(M,R) 

. cas oi. le cootreieur dispose des defis d et des reponses D 
Dans le cas ou le dispositif controleur dispose des defis d e. des reponses 
D les moyens de calcul du dispositif controleur calculent, a pardr de 
cnaque defi d et de chaque rtponse D, des engagements R' satisfaisant a 

des relations du type : 

R ^G 1 dl .G 2 d2 ....G m dn, .D v modn 

ou a des relations du type : 

R' = D v /G 1 t,1 .G 2 d2 ....G in dm . modn 
Puis, les moyens de calcul et de comparison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 

. cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur apphquent la 
fonction de hachage et calculent d' tel que 

d'=h(M,R) 

Ms, les moyens de c^cui et de comparison du dispositif contour 
verifient que les engagements R, les dc& d' et les reponses D, sattsfont a 

des relations du type : 

r» - <-< tfi a «>'2 G dm . D v mod n 

ou a des relations du type : 

R S DVG 1 dl .G J d ' 2 ....G m d ' m . modn 

Description detaillee de la variante de realisation dans le cas ou 
l'exposant public v = 2 k 



Description • 

Rappelons l'objectif de la technqlogie GQ : l'authentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une equivalence, loin s'en faut, comme le demontrent 
les attaques dites « multiplicatives » contre diverses normes de signature 
numerique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de l'invention porte 
plus precisement sur V utilisation de « i^x de cles GQ2 dans le cadre de 
l'authentification dynamique et de la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, ameliorer les performances par rapport a la technologie RSA ; d'autre 
part, eviter les problemes inherents a la technologie RSA. La cte privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module n : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour 1'enrite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et notes par g r Les nombres de base etant fixes de g, a g m avec m > 1 , 
une cle publique de verification <v, n) est choisie de la maniere suivante. 
L'exposant public de verification v est 2* ou k est un petit nombre entier 
plus grand que 1 {k > 2). Le module public n est le produit d'au moins deux 
facteurs premiers plus grands que les nombres de base, disons / facteurs 
premiers (f> 2) notes par p p dep. ...p f Les/facteurs premiers sont choisis 



34 



oe facon a ce quele module public n ai, les proprietes suivan.es par rapport 
a chacun des m nombres de base de g, a g m . 

. D-une par, les equations 0) - © »'<* *» de «**» " * *" 

Vm l des entiers modulo c'est-a-dire que « et son, deux rfctdus 

non quadratiques (mod n). 

x 2 = gl . (mod n) (D 
x 2 s -g,.(mod») ( 2 ) 
. D'autre part, liquation (3) a des solutions en x dans V anneau des enters 

modulo n. 

^'sg? (mod/.) C3) 
La c!6 publique de verification <v, *> etant fix6e selon les nombres de base 
i tZ. a- » * 1, chaque nombre de base » determine un coup e de 
valeurs GQ2 eomprenant une valeur publique G, et une valeur pnvee 2 
2- couples notes de G, ft » C 2.- U valeur pubUque G es, le carre du 
Ilbre de base « : soi, 0, - tf. La valeur privee 6, est une des soluttons a 
1-equation (3) ou bien l'inverse (mod ri) d'une teUe solution, 
^eme que le modu!e - se decompose en/facteu, 
oes entiers modulo „ se decompose en^orps de Gales, * CGW 
CG(p). Void les projections des eqiSute (i), (2) et (3) dans CG W . 
x 2 = gl . (modp,) 

(modpj) M 
» J *»g? (modpj) O-a) 
Chaque valeur privee g, pent se represent* de maniere umque par / 
P^vees, «ne par facteur premier : Q u * 2, (mod ,> Chaque 
ZTsL 2u est une solution a .'equation (3.a) ou b,en 1'mvers 
2 ,) d'l telle solution. Apres que toutes les solutions posstbles a 
^uluation (3.a) aient ete calculi ,a technique des resfcs cfcnot 
perme. d'etabUr toutes les valeurs possibles pour chaque valeur pnvee a 

, A^n aO • O = Restes Chmois (££„ k?,. 2 » — *V 

partir de/composantes de y u a kf, 
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de maniere a obtenir toutes les solutions possibles a 1' equation (3). 
Voici la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux a et b tels que 0 < a < b, et deux composantes X a de 0 a 
a-l et X b de 0 a b-\ ; il s'agit de determiner X= Restes Chinois (X a , X^, 
c'est-a-dire, le nombre unique ^Tde 0 a a.b-1 tel que X a =X(moda) et 
X b = X(modb). Voici le parametre des restes chinois : a s {b (mod a)}' 1 
(mod a). Voici l'operation des restes chinois :e = X b (mod a) ; 8 = ^f a -£ ; si 
5 est negatif, remplacer 5 par 5+a ; Y= <* . 6 (mod a) ;X=y .b + X b . 
Lorsque les facteurs premiers sont ranges dans l'ordre croissant, du plus 
petit p x au plus grand p p les parametres des restes chinois peuvent Stre les 
suivants (il y en a/-l, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a= {p 2 (mod^,)}" 1 (mod/?,). Le 
second parametre des restes chinois est p s {p v p 2 (mod/7 3 )}"' (modpj. Le i 
ieme parametre des restes chinois est X s {p r p 2 . ...p ul (mod/?,)}" 1 (mod^). 
Et ainsi de suite. Ensuite, en f-\ operations des restes chinois, on etablit un 
premier resultat (mod p 2 fois p,) avec le premier parametre, puis, un second 
resultat (modp r p 2 fois p 3 ) avec le second parametre, et ainsi de suite, 
jusqu'a un resultat (mod p v ...p^ fois p), c'est-a-dire, (mod../*^ 
II y a plusieurs representations possibles de la cle privee GQ2, ce qui traduit 
le polymorphisme de la cl6 privee GQ2. Les diverses representations 
s'averent equivalentes : elles se ramenent toutes a la connaissance de la 
factorisation du module n qui est la veritable cle privee GQ2. SMa 
representation affecte bien le compor t ement de Tentite qui signe ou qui 
s'authentifie. elle n'affecte pas le comportemen t de rentit6 qui controle. 
Voici les trois principales representations possibles de la cle privee GQ2. 
n La representation classigue en techn ologie GO consiste a stocker m 
valeurs privees Q. et la cle publique de verification (v, n) ; en technologie 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
re presentation o ntimale en termes de ch arges de travail consiste a stocker 
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,'exposant pubUc v. les/facteurs premiers,,, m/composantes pnvees % 
VTpan.nL des rest, chinois, 3) 1^^^^^ 
JL^&m co-iste a stocker 1'exposant public v, les m nombres 
^^^s premiers puis, a commencer chaque u—n 
l^antoubien^aleurspnv^aet^oduie^urse^a 

,a premise reputation, ou bien m.f c^mposantes pnvees ft, et /-I 
parametres des restes chinois pour seramener a la seconde. 
Is entires qui signen, ou s'authentifien. peuvent tou.es uuhser les memes 
nombres de base ; sauf centre indication, les m nombres de base de g, a g . 
peuvent alorsavantageusementetre les m premiers nombres prenuers. 
Farce que la seeurite du mecanisme d' authentication dynannqueou de 
1^2 numerique equivaut a la connaissance d'une decomposer, du 
ZL. >a —ie GQ2 ne perme, pas de t*— **^* 
entiles utilisant le meme module. Generalement, chaque entrte qui 
dentine ou signe dispose de son propre module <^«-»~ « 
pent specifier des modules GQ2 a quatre fccteurs prenuers dont deux sont 
oonnusd-une entireties deux autresd-une autre 

Voici un premier jeu de cles GQ2 avec * - «, so,t , - 64, — 3. ». «- 
nombres de base : „ - 3, ft - 5 et g> - 7, « / - 3, sort un — * ™ 
facteurs p.miers : deux congrus a 3 (mod 4) e, un a 5 (mod 8) . Notons que 
. = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 
! - 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 
: - 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

- OC363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 
*" B ^ ! F p F F8.CEA149DCF2F72EB449C5724742FE2A3630D9 
02CC00E^EE1B957F3BDC49BE9CB D 4D94467 B 72AF28CFBB2 6 144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

O - 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

ft, - 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 



Q i , = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
Q ia = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
= 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
= FDC4A8E53E185A4BA793E93BEE5C636DA73 1BDCA4E 
0 U = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
Q v = 0AE8551E1 16A3AC089566DFDB3AE003CF174FC4E4877 
g J4 = 01682D490041913A4EA5B80D16B685E4A6DD88070501 
Q l = D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 
C74D9743435AB4D7CF0FF6557 

Q 2 = CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273 ADE67353 A5BC3 16C093 

Q 3 = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 

AD9DC50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197 

697238537FE7A0195C5E8373EB74D 

Void un second jeu de cles GQ2, avec k = ?, soit v = 512, m = 2, soit deux 

nombres de base : g, = 2 et # 2 = 3, et/= 3, soit un module a trois facteurs 
premiers congrus k 3 (mod 4). 

Pl = 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 
^=062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
p 3 = OBCADEC219F1DFBB8AB5FE808AOFFCB53458284ED8E3 
n=p x .p 2 -P 3 = FFFF5401ECD9E537F167A80C0A91 11986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73A0C49 

761B276A8E6B6977A2 1D5 1669D039F 1D7 
£, , = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
Q u = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
Q ia = 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 
0 = 045ECB881387582E7C556887784D2671CA1 18E22FCF2 
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O = B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
O = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
O-27F7B9FC82C 1 9ACAE47F3FE9 5 60C3536A7E90F8C3C51E13C 
SF32FD8C6823DF753685DD63555D2H6FCDB9B28DA367327DD6 

9C94BOB2661E49DF3C9 B 42FEF 1 F37A7909B.C2DD54n3ACF87C6 

Fl 1F19874DE7DC5D1DF2A9252D 
Authentification dynamique 

X, m*canisme d'authentmcation dynamique est destine a P™- * ™ 
entite appelee contrMeur rauthenticite d'une autre enfcte appelee 

Tem. JLur ainsi que I-—*** — » - 0C " * 

d Hl que le corner s'assure qu'i! s'agit bien du demonstrate, e 
fventueulen, que iui - le oemonstmteur parlen, bien du meme message 
^message associeMes, opuonnel.ee qui signifiequ-Upeute^v,^ 

Le mecanisme d'authennfication dynamique est une sequence <te quatte 
^T- un acte d'engagement, un ac* de defi, un acte de reponse et un acte 

dHon^e. Le demonsfrateur joue les aetes d'engagement et de reponse. 

l^contrMeurjoue les actesde defi etdecontrdle. 

\ tt seta d» demonstrate, on peu, is...r «n temota, de maruere a tsofer 
£ paramos et .es foncuons !es plus sensibles du demonstrates, c est-a- 
L production des engagements et des reponses. Le temom dvspose du 
SJ. * et de ia « privee GQ2, e'est-a-dire, de !a = at, . J. 
module „ selon 1'une des trois representations evoquees et-dessns . les/ 
Zll premiers et ,es . nombres de base, . les ^^J^ 
tes/facteurs premiers et/-l parametres des restes cbmors, • les » valeurs 

l^spondre a une Nation pardcuUere, par exemple, 
^TcL a puee reli* a un PC forman, ensembie le demo—, ou 
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encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particulierement proteges au sein d'une carte a 
puce. Le temoin ainsi isole est semblable au temoin defini ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de defis d. 
Chaque ensemble {R, d, D} consume un triplet GQ2. 
Outre qu'il comprend le temoin, le demonstrateur dispose egalement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le controleur dispose du module n et des parametres k et m ; le cas 6cheant, 
il dispose egalement de la meme fonction de hachage et d'un message M\ 
Le controleur est apte a reconstituer un engagement R ' a partir de n'importe 
quel d6fi d et de n'importe quelle reponse D. Les parametres k et m 
renseignent le controleur. Faute d'indication contraire, les m nombres de 
base de g x a g m sont les m premiers nombres premiers. Chaque d6fi d doit 
comporter m defis elementaires notes de d x a d m : un par nombre de base. 
Chaque defi elementaire de d x a d m doit prendre une valeur de 0 a 2*"-l (les 
valeurs de v/2 a vrl ne sont pas utilisees). Typiquement, chaque defi est 
code par m fois bits (et non pas m fois k bits). Par exemple, avec k=6 
et m = 3 et les nombres de base 3, 5 et 7, chaque defi comporte 15 bits 
transmis sur deux octets ; avec k = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi comporte 16 bits transmis sur deux octets. Lorsque les (fc-l).m 
defis possibles sont egalement probables, la valeur (k-\).m determine la 
security apportee par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connait pas la factorisation du module n a exactement une chance de 
succes sur 2^ ,)J \ Lorsque (fc-l).m vaut de 15 a 20, un triplet suffit a assurer 
raisonnablement l'authentification dynamique. Pour atteindre n'importe 
quel niveau de securite, on peut produire des triplets en parallele ; on peut 
egalement en produire en sequence, c'est-a-dire, repeter l'ex6cution du 
mecanisme. 
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Lorsque le temoin dispose des m valeurs pn < ^ fc 

actions successive* an erne (mod »), U tt 
engagements. Ksr » (mo dn) 

Void un exemple avec le P re ^^* 1 3r797EF562CFA53A4AF8 
919967C3E2FB4B4566088E DF03F3D 976471B25C56 

ssssss-— 

4 9 CC4292E5DmBDB00828A F 18 ^ ^ m/ 

„ ,e temoin dispose . priv6 _ ou p.usieuts 
composantes pnvees (2,. * comp0 rte un al6a r, par facteur 

^-^*'.--rrr)* ,,p,,,- 

/^sr, (modi?,) 



Voici « exemp.e avec le •~^%£££ tXaH6 
jt, = 022B365F0BEA8E157E94A9Dt 

r , , 0D74D2BDA5302CF8BE2F6 5BB3C 

R , - 06E14C8FC4DD312BA3B475F1F40CFO ^ ^ ^ 

pUchaquecoUecnonde/compos^deng^g ^ 

engagement selon la techmque des testes 
d-engagementsquedecoUecuonsd'aleas. 
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R = Restes Chinois^, R^, ... R) 
R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7 
D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4C3458D1E37C9 

91 23B56446F6C928736B 1 7B4BA4A529 

Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 
chaque engagement R, ou bien, un code de hachage H obtenu en hachant 
chaque engagement R et un message M. 

2) L'acte de defi consiste a tirer au hasard un ou plusieurs d6fis d 
composes chacun de m defis elementaires d, d 2 ... d m \ chaque defi 
el&nentaire d t prend l'une des valeurs de 0 a v/2-1. 

d = d, d 2 ... d m 

Voici un exemple pour le premier jeu de cles avec k = 6 et m = 3. 

d= 10110 = 22= '16' ; 4 = 00111 =7 ;</ 3 = 00010 = 2, 
* d = 0 I \d l I \d 2 I I ^ = 01011000 11100010 = 58 E2 
Voici un exemple pour le second jeu de cles avec k= 9 et m = 2. 

d = d x | I d 2 = 58 E2 = soit en decimal, 88 et 226 
Le controleur transmet au demonstrateur chaque defi d. 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque le temoin dispose des m valeurs privees de Q x a Q m et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de Facte 
d'engagement et les valeurs privees selon les defis elementaires. 

X^Q^.Q^.-Qt" (modn) 
D = r.X (mod n) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480 

A2C6A290273479FEC9171990A17 

Lorsque le temoin dispose des / facteurs premiers de p x a p f et des m.f 
composantes privees il calcule une ou plusieurs collections de / 
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Election d'aleas de l'acte 

^r-^r— ----- 

^^ m ^r£.rt.--Qti ***** 

D ( '«r,jf, (mod ft) 
Voiciunexettplepourlesecondjeudecl*. 

PooI chaque coupon de J * Mponses que 

rtpooseselon la .ectaique des res.es 

116 **■ j, = R«s,es C*»«P, \^<L 9AE12 EF1F36 

Dans les deux cas, 

contrSleur. , „ n «tT61er que chaque triplet {R, d, D} 

RftGf'^ (rood") oubien K-D 11 • 

■ " iur chaque engagement : BSUB**»»t 
oub.en.aretabtechaq n) 

?„ concur eaicu.eensui.eun code de hachage Hen 
Eventuellement, le controie 



hachant chaque engagement retabli R ' et un message AT . L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a recu a 
Tissue de l'acte d'engagement, c'est-a-dire, tout ou partie de chaque 
engagement R, ou bien, le code de hachage H. 

Par exemple, une sequence d'operations elementaires transforme la reponse 
D en un engagement R'. La sequence comprend k carres (mod ri) separes 
par k-1 divisions ou multiplications (mod ri) par des nombres de base. Pour 
la i ieme division ou multiplication, qui s'effectue entre le i ieme carr6 et le 
i+1 ieme carre, le / ieme bit du d6fi elementaire d, indique s'il faut utiliser 
g le / ieme bit du defi elementaire d 2 indique s'il faut utiliser g v ... 
jusqu'au / ieme bit du defi elementaire d m qui indique s'il faut utiliser g m . 
Voici un exemple pour le premier jeu de cles. 

D 2 (mod n) = FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F3 
2B93948715491FOEB091B7606CA1E744E0688367D7BB998F7B73D5F7 

FDA95D5BD6347DC8B978CA2 1 7733 

3 . D 2 (mod n) = F739B708911166DFE715800D8A9D78FC3F332FF622D 
3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF 

98704 fe£52890D83FC6B48D3EF6A9DF 

3 2 . D* (mod ri) = 682A7AF280C49FE230BEE354BF6FFB30B7519E3C8 
92DD07E5 A78 1 225BBD33920E5 ADABBCD7284966D7 1141 EAA17AF 
8826635790743EA7D9A15A33ACC7491D4A7 

3* . D % (mod ri) = BE9D828989A2C184E34BA8FE0F38481 1642B7B548F 
870699E7869F8ED851FC3DB3830B24O0C516511A0C28AFDD210EC3 

93 9E69D4 1 3F0B ABC6DEC44 1 974B 1 A291 

3 s . 5 . D* (mod n) = 2B40122E225CD858B26D27B768632923F2BBE5 

DB15CA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D 

4AC1E89C2235C363830EBF4DB42CEA3DA98CFE0O 

3*° . 5 2 . D 16 (mod ri) = BDD3B34C90ABBC870C604E27E7F2E9DB2D383 

68EA46C931C66F6C7509B118E3C162811A98169C30D4DEF768397DD 
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j92E5DD2BDB008/»Ario 
ttg agementH.L'authentifxcati< 



OniettouveWenrengagcB^--- 

Voici « temple po« * SK °^ i ;bc6D0OBA699ABD74FB9D13E 
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6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF1A0D5A721A1890D03A00BD8 

2 2 . 3 7 . D % (mod n) = E4632EC4FE4565FC4B3 126B1 5ADBF996149F2D 
BB42F65D9 1 1D3 85 1 9 1 0FE7EA53DAEA7EE7B A8FE9D08 1DB78B249 
B1B18880616B90D4E280F564E49B270AE02388 

2 4 . 3' 4 . D i6 (mod n) = ED3DDC7 1 6AE3D1EA74C5AF935DE8 14BCC 
2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF 

665C1 7C399607DEA54E2 1 8C2C01 A890D422EDA16FA3 

2 5 . 3' 4 . D 16 (mod n) = DA7C64E0E8EDBE9CF823B71 AB13F17E1 161487 
6B000FBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562D0F5 

7AE94AE0AD3F35C6 1 C0892F4C9 1 DC0B08ED6F 

2 ,o 3 28 ^ (mod w) = 6ED6AFC5 A87D2DD 1 17B0D89072C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07C3D 

722F17DA30088E6E739FBC419FD7282D16CD6542 

2" . 3" . £> 32 (mod n) = DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB 1ECB6D432CFCC40FA95B77464003 A705 146A0D364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505A2D9ACA84 

2 n . 3 56 . D" (mod n) = A466D0CB17614EFD961000BD9EABF4F021 

36F8307 1 0 1 882BC 1 764DBAACB7 1 5EFBF5D8309AE00 1EB5DEDA 

8FO0OE44B3D4578E5CA55797FD4BD1F8E919BE787BD0 

2 44 . 3 112 . D m (mod n) = 925B0EDF5047EFEC5AFABDC03A830919761 

B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 

8FDEC740778BDC178AD7AF2968689B930D5A2359 

2" . 3 U3 . D m (mod n) = B71 1D89C03FDEA8D1F889134A4F809B3F2D 

8207F2AD8213D169F2E99ECEC4FE08038900F0C203B55EE4F4C803 

BFB9 1 2A04F 1 1D9DB9D07602 1 764BC4F57D47834 

2 s» 3226 ^ (mod b) = 41A8 3F1 1 9FFE4A2F4AC7E5597A5D0BEB4D4C 

08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 

FCC628021B4648D7EF757A3E461EF0CFF0EA13 
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^ -,4" 9» D" ! (modn)-28AA7F12259BFBA8 
,« 3 «. D » ! (mod>0,soit4 .9 .» v _„ gw5 cFAlAD7FC0F9D 

4A5M w» .'engagement K. L> authentication est reussie. 
On retrouve bien 1 engagemc 

Signature numerique entit6 app elee 

J^ecanisme de signal n— < ^ ^ 
sigM ,,*« de produire de, messages ^ * 
I^-^des^sa^ ^U-J ^ ea ^ , 

bto ire quelconque: d peut etre ^ ou plusieurs 

adj „ignant un appendice * »^ ^^ndantes. 

- ' » " Iflnc! de hachage, des parametres * et 
u control dispose de la meme ~ „ contl61euI . D'une 

m et du module n. Les paramos * « » - ^ 
pan, chaque defi elemental de d, a ^ap ^ „ 

P t (1 es valeurs de v/2 a .1 ne sou. P-^J » ^ que de nombres 
doit comporter - defis element ^ ^ de ft 
, debase. En outre, faute dH**» contrau^ k ^s ^ ^ . ^ 

^^isout.es^en-s.^^^^^ 
on peut signer aveo quatre tnplets GQP ^ pm exemptei 

val ant 60 ou plus, on peut s.gner avec ^ ^ ^ 

, Q»tm-8 unseul triplet C3Q2 sunn, h 
avecfc=9etm », 4 , , 5 7 11, 13, 17 et 19. 
0 ctetsetlesnombresdebasesom2,3A , , ^ ; ^ ^ 

^dlnT.r.tr^.C^ueac^produitun 
d- engagement un acte de defi et ^ R (* 0), un 

ou plusieurs triplets OQ2 eomprenant chacun ^ ^ 

deld compose de m defis elemental notes par , 

riponse D (* 0). w we du oarametre fc et de la cle 

Z signataire dispose d'une fonction de hacnage, P 



privee GQ2, c'est-a-dire, de la factorisation du module n selon l'une des 
trois representations evoquees ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d'engagement et de reponse, de 
maniere a isoler les fonctions et les parametres les plus sensibles du 
demonstrateur. Pour calculer engagements et reponses, le temoin dispose du 
parametre k et de la cte privee GQ2, c'est-a-dire, de la factorisation du 
module n selon l'une des trois representations evoquees ci-dessus. Le 
temoin ainsi isol6 est semblable au temoin defini au sein du demonstrateur. 
H peut correspondre a une realisation particuliere, par exemple, • une carte 
a puce reliee a un PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'un PC, ou encore, • des 
programmes particulierement proteges au sein d'une carte a puce. 
1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin dispose des m valeurs privees de £?, a Q m et du module n, 
il tire au hasard et en priv6 un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carr6 (mod «), il transforme chaque alea r en un 
engagement R. 

R = r v (mod n) 

Lorsque le temoin dispose des / facteurs premiers de p x a p f et des m.f 
composantes privees Q iJt il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r, par facteur 
premier p, (0 < r, < />,) ; puis, par k elevations successives au carre (mod/?,), 
il transforme chaque alea r, en une composante d'engagement R r 

Ri = n (mod 

Pour chaque coUection de/composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d'engagements que de collections d'ateas. 

R = Restes Chinois(i*„ Z^, . . . R) 
2) L'acte de defi consiste a hacher tous les engagements R et le message a 
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- a. <\r hachase a partir duquel le signataire 

signer U pour *- - ^ 'J^ZZJ. m d4fis el «s ; 
forme un ou plusteurs defis <=ompre ^ 
chaque defi e.ementaire prend une va,» d 0. ^ 1 P 
* - 9 et m - 8, chaque defi comporte hurt octets, n y 

d-eogagemeo^ _^ ^ ^duresultatHasKA,, * 

ii cricule une ou plusieurs reponses B en utilisant cnaq 

Z) = r.X (modn) 

composan*s J^-J utmsimt chaque coUect i 0 n d'aleas de Tacte 

n .^.X, (mod a) 

^« r A nnn cp le temoin etabht une 

de defis. . m 

D = Restes Chinois(I> 1 , x^ 2 , • • • > 

Le sig n,a ir e Slg ne ,e message M en >ui adioignant un append.ce de 

defi d et chaque rip— A corresp ondante, 
. oubien, chaque engagement Ket chaque rep 
. " bleu! chaque defi * et chaque report D correspondante. 




Le deroulement de l'operation de verification depend du contenu de 
l'appendice de signature. On distingue les trois cas. 

Au cas ou l'appendice comprend un on plusieurs triplets, l'operation de 
controle comporte deux processus independents dont la chronologie est 
indifferente. Le controleur accepte le message signe si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation approprtee du 
type suivant doit etre verifiee) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

R Tl G f l s£)2 * (mod w) oubien R = D 2 Y1 G ^' (mod w) 
1=1 /=1 
Par exemple, on transfonne la reponse D par une sequence d'operations 
elementaires : k carres (mod n) separes par k-l multiplications ou divisions 
(mod ri) par des nombres de base. Pour la / ieme multiplication ou division, 
qui s'effectue entre le i ieme carre et le *'+l ieme carre, le / ieme bit du defi 
el6mentaire d x indique s'il faut utiliser g v le i ieme bit du d6fi el^mentaire d 2 
indique s'il faut utiliser g v ... jusqu'au / ieme bit du deTi elementaire d m qui 
indique s'il faut utiliser g m . On doit ainsi retrouver chaque engagement R 
present dans l'appendice de signature. 

D'autre part, le ou les triplets doivent 6tre lies au message M. En hachant 
tous les engagements R et le message M, on obtient un code de hachage a 
partir duquel on doit retrouver chaque defi d. 

d = d x d 2 ... d mt identiques a ceux extraits du resultat Hash(M, R) 
Au cas ou l'appendice ne comprend pas de defi, l'operation de contrSle 
commence par la reconstitution de un ou plusieurs defis d' en hachant tous 
les engagements R et le message M. 

d' = d\d\... d' m , extraits du resultat Hash(M, R) 
Ensuite, le controleur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est verifiee) et 
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recevable (la companion se fait sur une valeur non nuUe). 

R f[Gf' ^ (mod n) bubien R = D* \\Cif' (mod «) 

Au «T.» I'appendice .« comprend pas d-eagagemeot, 1'operation de 
contrale commence par la reconquer, de un ou plusieurs engagements ,R 
S elon une des deux fonnules suivan.es, celle qui est appropnee. Aucun 
engagement retabline doit etre mil. ^ 

R^D 2 ' l\\G?' (mod n) oubien a'^JK' (mod «) 

Ensuite, le concur doit hacher tous les engagements R ' et le message W 

de facon a reconstituei chaque defis d. 

d-d d d identiquesaceuxextraitsduresultatHasMM,/?') 

Le contour acc^pte le message signe si et seulement si chaque defl 
reconstitue est identique au defi corresponds figurant en append.ee. 



Dans la presente demande, on a momre quM. esistai. des couples de va>eurs 
privee 2 et pubUque G permettant de mettre en ceuvre le precede, le 
lem, e, le dispositif selon .-invention destine a prouver raumenfete 
d-uneentiteet/oul'integriteet/ourauthenticited-un message. 

Dans la demande pendante deposee le meme jour que la presente demande 
pa, Fran ce Telecom, TDFetla Societe Mam KZK et ayant pour mventeurs 
Luis GuiUou et Jean-Ja^ues Quisquater, on a decnt un procede pou^ 
produire des jeux de cles GQ2, a savoir, des modules , et des couples de 
valeurs pubUque G e, priv6e Q dans lecas oil 1'exposant v est egal a 2 . Elle 
est incorporee ici par reference. 
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Cette description- detaillee de Tinvention dans le cas ou v = 2* est 
susceptible d'gtre generalisee a d'autres valeurs de v. C'est d'ailleurs ce qui 
a ete expose, en contrepoint aux revendications, dans les premieres pages de 
la description concemant le cas ou v est different de 2*. Pour autant que cela 
soit necessaire, notamment pour des raisons ressortant des regies d'6criture 
d'une demande de brevet, et qu'il faille egalement dans cette partie de la 
description expliciter l'invention dans le cas ou v est different de 2*, les 
premieres pages de la description seront egalement supposees avoir ete 
inserees a la suite de ce paragraphe. 
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Revendications 
1. Precede destine a prouyer a une entite controleur, 

- FauthenticitS d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q 2 » ••• Q m et publiques G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2> • • • Pf ( f ^ tant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

Gj. Qi v = 1 . mod n ou G; = Q, v mod n ; 
ledit precede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers pj et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qj et/ou des f.m composantes Q ul (Q u j = Q x mod des valeurs 
privees Qjet de 1' exposant public v ; 

- le temoin calcule des engagements R dans l'anneau des entiers 
modulo n ; chaque engagement etant calcule en effectuant des operations 
du type 

Ri = ri V mod ^ 

ou r t est un alea associe au nombre premier p, tel que 0 < r. t < pj , cbaque r t 
appartenant a une collection d'aleas {r x , r 2 , ... r f } ,puis en appliquant la 
methode des restes chinois, 

- le temoin recoit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d t ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque defi d une reponse D en effectuant des operations du type : 

D, = r, . Q u dl . Q w " - Qi,m *" mod p., 
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puis en appliquant la methode des restes chinois ; 

ledit precede etant tel qu'il y a autant de reponses D que de defis d que 
d'engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D}. 

2. Precede selon la revendication 1 destine a prouver 1' authenticity 
d'une entite appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d' engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou partie de chaque 
engagement R, 

• etape 2 : acte de dell d 

- le controleur, apres avoir regu tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d'engagements R et 
transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 

- le demonstrateur transmet chaque reponse D au controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques G„ G 2 , ... 
G m , calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' = G, dl .G 2 d2 ....G m dm .D v modn 
ou a une relation du type, 



R> = D V / G x dl . G 2 ^ ...G m . mod n , 
le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
cas ou le demonstrateur a transmis l'integralite de chaque engagement 
R 

dans le cas ou le demonstrateur a transmis rintegralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G 2 , ... 
G m , verifie que chaque engagement R satisfait a une relation du type : 

R = Gj dl . G 2 ... G m dm . D v mod n 
ou a une relation du type, 

R = D v / G x dl . G 2 d2 . ... G m *» . mod n . 
3. Precede selon la revendication 1 destine a prouver a une entite 
appelee controlexir rintegrite d'un message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagenient R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de deli d 

- le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le controleur, apres avoir re?u un jeton T, produit des defis d en nombre 
egal au nombre d' engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de controle 



- le demonstrates transmet chaque reponse D au controleur, 

-le controleur, disposant des m valeurs publiques G 19 G 25 ... G m , calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G, dl . G 2 d2 . ... G m *■ . D v modn 
ou a une relation du type : 

R' = DVG 1 dl .G 2 d2 ....G m d,n . modn 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T% 

- puis le controleur verifie que le jeton T' est identique au jeton T transmis. 

4. Procede selon la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 

ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R 5 f Ss 

- les reponses D ; 

ladite entite signataire execute T operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcide chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d' engagements R, 



• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1 . 

5* Procede selon la revendication 4 destine a prouver F authenticity 
du message M en controlant, par une entite appelee controleur, le message 
signe; 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

• • le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R-D v /G 1 dl .G 2 d2 ....G m dm . modn 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

dans le cas ou le controleur dispose des defis d et des reponses D, 

• • le controleur reconstruit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant a des relations du type : 

R' = G! dl .G 2 d2 ....G m dm .D v modn 
ou a des relations du type : 

R' = D v /G 1 dl .G 2 d2 ....G m dm . modn 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 
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d = h(M,R') 

• cas ou le contrdleur dispose des engagements R et des reponses D 

dans le cas ou le contrdleur dispose des engagements R et des reponses D, 

• • le contrdleur applique la fonction de hachage et reconstruit d' 

d'=h(M,R) 

• • le contrdleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R = G x d l . G 2 d ' 2 . ... G m d m . D v mod n 
ou a des relations du type : 

R = DV G t An . G 2 d \ ... G m d ' m . mod n 

6. Precede selon Tune quelconque des revendications 1 a 5 tel que 
les composantes Q u , Q k2 > Qi,f des valeurs privees sont des nombres 
tires au hasard a raison d'une composante Qj j (Q^ j = Q, mod Pj) pour 
chacun desdits facteurs premiers p j9 lesdites valeurs privees Qj pouvant 
etre calculees a partir desdites composantes Q ul , Q k 2 ••• Qi, f pa* ^ 
methode des restes chinois, 

lesdites valeurs publiques G l5 etant calculees 

• en effectuant des operations du type 

G u- Qi,j V mod Pj 

• puis en appliquant la methode des restes chinois pour etablir Gi tel que 

. Qi V s 1 . mod n ou G t = _Q E v mod n ; 

7. Precede selon la revendication 6 tel que l'exposant public de 
verification v est un nombre premier, 

8. Precede selon rune quelconque des revendications 1 a 5 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique G t etant le carre g* d'un nombre de base g t inferieur 
aux f facteurs premiers p 19 p 2 , ... p f ; le nombre de base & etant tel que : 
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les deux equations : 

x 2 = g s mod n et x 2 = -g.modn 
n'ont pas de solution en x dans Fanneau des entiers modulo n 
et tel que : 

l'equation : 

x v = gj 2 mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

9. Systeme destine a prouver a un serveur controleur, 

- 1' authenticity d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q 19 Q 2 , ... Q m et publiques G„ G 2J ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi» P25 ••• Pf (f ^tont superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

Q . Qj v = 1 . mod n ou Gj = Q^mod n ; 
ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous Ja forme d'une carte bancaire 
a microprocesseur, 

le dispositif temoin comporte une zone memoire contenant les f facteurs 
premiers Pi et/ou des parametres des restes chinois des facteurs premiers 
et/ou du module public n et/ou des m valeurs privees Q; et/ou des tm 
composantes (Qi j = Q|mod pj) des valeurs privees Q s et de 1* exposant 
public v ; 

le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
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production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

RiSr^modpi 

ou Tj est un alea associe au nombre premier ft tel que 0 < r, < ft , chaque r t 
appartenant a une collection d'aleas {r x , r 2 , ... r f } produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque defi d comportant m entiers dj ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

D^r,. Q M dl . * . . . Q Um ^ mod Pi 
puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

U y a autant de reponses D que de defis d que d' engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

10. Sy steme selon la revendication 9 destine a prouver F authenticity 
d'une entite appelee demonstrateur a ime entite appelee controlexu* ; 
ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a Tentite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
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moyens d'interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a Tentite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication infoimatique, au dispositif demonstrateur ; 
ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 

moyens d'interconnexion ; 

- le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designe les moyens de transmission du dispositif demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion ; 

• etape 2 : acte de defi d 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R, 
le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, 
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• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re$oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 2 » ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G x dl . G 2 c . . • . G m ** . D v mod n 
ou a ime relation du type, 

R' = D v / Gj dl . G 2 ^ G m ^ . modn , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R\a tout ou partie de chaque engagement R re$us, 
cas ou le demonstrateur a transmis l'integralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
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l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G l9 G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R = G x dl . G 2 d2 . ... G in dra . D v mod n 

ou a une relation du type, 

R = D v /G 1 dl .G 2 d2 . ... G m ** • mod n . 

11. Systeme selon la revendication 9 destine a prouver a une entite 
appelee controleur Tintegrite d'un message M associe a une entite appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a l'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d' interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesseur dans une carte bancaire a microprocesseur, 

- im dispositif controleur associe a T entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant - J Ifedit dispositif controleior comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via im reseau de 
communication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'executer les etapes sxiivantes : 
• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 



tout ou partie de chaque engagement R ati dispositif demonstrateur, via les 
moyens d' interconnexion ; 

• etape 2 : acte de defi d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re$u le jeton T, les defis d en nombre 6gal au 
nombre d' engagements R , 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 9, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
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valeurs publiques G 15 G 2 , ... G m , poiir d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 
satisfaisant a une relation du type : 

R 9 = Gj dl . G 2 d2 . ... G m . D v mod n 
ou a une relation du type : 

R , sD v /G 1 dl .G 2 d2 ....G m dm . modn 
puis d' autre part, calculer en appliquant la fonction de hachage h ay ant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re?u. 

12. Systeme selon la revendication 9 destine a produire la signature 
numerique d'xm message M, ci apres designe le message signe, par une 
entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit systeme etant tel qu'il comporte xm dispositif signataire associe a 
Tentite signataire, ledit dispositif signataire etant interconnect^ au 
dispositif temoin par des moyens d'interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d' engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 




selon la revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d'interconnexion; 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des d6fis d en 
nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d , re?oivent chaque defi d provenant du 
dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus sp6cifie selon la 

revendication 9, 

<* 

le dispositif teiiioin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d' interconnexion. 

13. Systeme selon la revendication 11 destine a prouver 
r authenticity du message M en controlant, par une entite appelee 
controleur, le message signe; 

ledit systeme etant tel qu'il comporte im dispositif controleur associe a 
1* entite controleur ; ledit dispositif controleur se presentant notamment 
sous la forme d'un terminal ou d'xin serveur distant ; ledit dispositif 
controleur comportant des moyens de connexion pour le connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique, notamment via un reseau de communication informatique, au 
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dispositif demonstrateur ; 

ledit dispositif signataire associe a l'entite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant: 
- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R> des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = G l dl . G 2 d2 . ... G m dm . D v mod n 

ou a des relations du type : 

R = D v /G 1 dl .G 2 d2 ....G m dm . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (M, R) 

• cas ou le controleur dispose des defis d et des reponses D 
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dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a piartir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = G r dl .G 2 62 G m ^ . D v mod n 

ou a des relations du type : 

R' = D V / G x dl . G 2 d2 . ... G m . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h(M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h(M,R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D 5 satisfont a 
des relations du type : 

R = G t dM . G 2 d ' 2 . ... G m d ' m . D v mod n 
ou a des relations du type : 

R = D v / G x d l . G 2 d ' 2 . ... G m d ' m . mod n 
14. Systeme selon Tune quelconque des revendications 9 a 13 tel 
que les composantes t , 2 , ... f des valeurs privees sont des 
nombres tires au hasard a raison d'une composante Qj d - (Q^ j = Q { mod pj) 
pour chacun desdits facteurs premiers p j? lesdites valeurs privees Qj 
pouvant etre calculees a partir desdites composantes Q u , Qi, 2 ••• Qi, f par 
la methode des restes chinois, 
lesdites valeurs publiques G i5 etant calculees 
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• en effectuant des operations du type 

G u = Q u v modpj 

• puis en appliquant la methode des restes chinois pour etablir G f tel que 

G s . Qi v - 1 . mod n ou Gj = Qj v mod n ; 

15. Systeme selon la revendication 14 tel que Fexposant public de 
verification v est un nombre premier, 

16. Systeme selon Tune quelconque des revendications 9 a 13 
ledit exposant v etant tel que 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gi etant le carre g 2 d'un nombre de base gj inferieur 
aux f facteurs premiers p 2 , ... p f ; le nombre de base g 8 etant tel que : 

les deux equations : 

x2 = & modn et x 2 = - gj mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n 
et tel que : 

F equation : 

x v = g; 2 mod n 

a des solutions en x dans Fanneau des entiers modulo n . 

17. Dispositif terminal associe a ime entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a dispositif controleur, 

- F authenticity d'une entite et/ou 

- Fintegrite d'lm message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q l5 Q 2 , ... Q m et publiques G 19 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi? P29 — Pf (f etant superieur ou egal a 2), 



- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G t . Qj V = 1 . mod n ou Gj = Q, v mod n ; 

ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers pj et/ou des parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou des m 
valeurs privees Q x et/ou des f.m composantes Q jf j (Q if j = Qj mod pj) des 
valeurs privees Qj et de r exposant public v ; 
le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Panneau des entiers modulo n ; chaque engagement etant calcuie en 
effectuant des operations du type 

Ri = rj V mod p, 

ou i^est un alea associe au nombre premier p 4 te] que 0 < r i < p t , chaque 
appartenant a ime collection d'aleas {r t , r 2 , ... r f } produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres design6s les moyens de 
reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque defi d comportant m entiers dj ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 
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puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 



il y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

18. Dispositif terminal selon la revendication 17 destine a prouver 
T authenticity d'une entite appelee demonstrateur a une entite appelee 
contrdleur ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a 1 ' entite demonstrateur, ledit dispositif demonstrateur etant 
interconnect^ au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
rnaniere acoustique, notamment via un reseau de commxinication 
informatique, a \m dispositif controleur associe a V entite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 



engagements R et une ou plusieurs reponses D ; 
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moyens d' interconnexion ; 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion, 

• etape 2 et 3 : acte de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des r6ponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de contrdle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

19. Dispositif terminal selon la revendication 17 destine a prouver a 
une entite appelee controleur 1'integrite d'un message M associe a une 
entite appelee demonstrateur, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a T entite demonstrateur, ledit dispositif demonstrateur etant 
interconnecte au dispositif temoin par des moyens d'interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, 61ectromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a xm dispositif controleur associe a 1' entite controlexir ; ledit 



dispositif controleur se presentant notammeat sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

• etape 2 et 3 : acte de defi d 9 acte de reponse 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui precede au controle. 
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20. Dispositif tenninal selon la revendication 17 destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les d6fis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a V entite signataire, ledit dispositif signataire etant interconnect^ au 
dispositif temoin par des moyens d'interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associe a Tentite controleur ; ledit 

dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifie 
selon la revendication 1 7, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d * interconnexion; 

• etape 2 : acte de defi d 
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le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 
les moyens de reception des defis d re?oivent les defis d provenant du 
dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus sp6cifie selon la 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

22. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 
destine a prouver a im serveur controleur, 

- 1' authenticity d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q l9 Q 2 , .... Q m et publiques G l9 G 2J ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pu P29 ••• Pr (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 



ou Qj designe une valeur privee, inconnue du dispositif controleur, 



type : 



G s . Qj v s 1 . mod n ou G 8 = Q^mod n ; 



associee a la valeur publique Gj . 

23. Dispositif controleur selon la revendication 22 destine a prouver 
r authenticity d'une entite appelee demonstrateur a une entite appelee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a V entite 
demonstrateur; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etape 1 et 2 : acte d'engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re?u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R, chaque defi d 
comportant rn entiers d l , ci-apres appeles defis elementaires 
le dispositif controleur comporte aussi des moyens de transmission, ci-aprds 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse, acte de controle 
le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 
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cas oil le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de reception du dispositif controleur ont re?us 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G„ G 25 ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' s G 1 dl . G 2 ... G m *" . D v mod n 
ou a une relation du type, 

R' = D V / G a dl . G 2 d2 . ... G m dm . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re?us, 
cas ou le demonstrateur a transmis 1'integralite de chaque engagement 
R 

dans le cas ou les moyens de reception du dispositif controleur ont re^us 
Fintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gj, G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

■ R = Gj dl . G 2 d2 . ... G m dm . D v mod n 
ou a ime relation du type, 

R = D v / Gi dl . G 2 d2 . ... G m dm . mod n . 
24. Dispositif controleur selon la revendication 22 destine a prouver 
Fintegrite d'un message M associe a une entite appelee demonstrateur, 
ledit dispositif controleur comportant des moyens de connexion pom* le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
infonnatique, a un dispositif demonstrateur associe a V entite 
demonstrateur; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 



• etapes 1 et 2 : acte d'engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du demonstrateur, via les moyens de connexion, 
le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re?u le jeton T, des defis d en nombre egal au 
nombre d' engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis elementaires, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 
le dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, disposant des m valeurs publiques Gj, G 2 ,,.. : . G m , pour 
d'une pan, calculer a pariir de chaque defi d et de chaque r$p§jpse D un 
engagement reconstruit R' satisfaisant k ime relation du type : 

R 5 -G 1 dl . G 2 d2 . ... G m ^ . D v modn 
ou a une relation du type : 

R' = D v /G 1 dl .G 2 d2 ....G m dm . modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re?u. 

25. Dispositif controleur selon la revendication 22 destine a prouver 
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l'authenticite du message M en contrdlant, par une entite appelee 
controleur, le message signe; 

le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprenant: 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D ; 

ledit dispositif controleur comportant des moyens de connexion pour le 

connecter electriquement, electromagnetiquement, optiquement ou de 

maniere acoustique, notamment via un reseau de communication 

informatique, a un dispositif signataire associe a l'entite signataire ; 

ledit dispositif contrdleur ayant recu le message sign6 du dispositif 

signataire, via les moyens de connexion, 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 

dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 

comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif contr61eur dispose.des engagements R, des d6fis 

d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 



ou a des relations du type : 

R = D v /G 1 dl .G 2 d2 ....G in dm . modn 
• • les moyens de calcul et de comparaison du dispositif contrdleur 
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G m *■ . D v mod n 




verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas ou le contrdleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = G t 61 . G 2 * . . . G m *" . D v mod n 
ou a des relations du type : 

R , = D v /G 1 dl .G 2 d2 ....G ro dm . modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas ou le contrdleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du i'dispositif controleur appliquent la 
fonction de hachage et calculent d* tel que ^ 

d' = h(M,R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G, d 1 • G 2 G m d m . D v mod n 
ou a des relations du type : 
R = D v / Gj d I . G 2 d 2 . G m d m . mod n 
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